日本政府においては、コロナ禍の中、国民からの様々な期待の高まりを受けるとともに、デジタル庁設立、リモートワーク導入、クラウド導入、DX推進など大きな変化要求・変化要因があります。さらに、サイバー攻撃者の戦術・技術の進展は目覚ましく脅威度は高まっており、特に自組織の変化部分については新しい脅威にさらされるようになりました。また、ウクライナ情勢による緊張の高まり、ランサムウエアによる工場停止、また内部犯行による情報漏洩といった最近のサイバー攻撃・脅威の事案にも注目が集まっています。
それに伴い、「ゼロトラスト」というキャッチフレーズを聞く機会が増えました。ゼロトラストは簡単に言えば、「確認・検証していないものを信じるな。まずは確認・検証しよう。」という考え方です。外部から入ってくるデータも、従業員の行いも確認が必要です。
ゼロトラストの「確認・検証」の方法
では、その「確認・検証」は具体的にどうするのか。日本政府はサイバーセキュリティ戦略(2021年7月)において常時診断・対応型のセキュリティアーキテクチャの導入を可能なところから率先して導入を進める方針を掲げています。この常時診断・対応型のセキュリティアーキテクチャの原点となっているのが米国政府で採用されるCDMアーキテクチャです。CDMにおいては、まず、自組織の人(アカウント)及びモノ(ハード・ソフト)をきちんと検証します。承認された人(アカウント)だけが承認されたモノ(ハード・ソフト)を利用できる環境を確保します。そこからさらにセキュリティを固めるとともに、リアルタイム監視・対処を行います。米政府の基準では、全システムを72時間以内に点検することになっていますが、CDMを実装すれば難しい要求ではありません。
また、CDMは、様々な企業の優れた製品・サービスを組み合わせるアーキテクチャです。一社単独のセキュリティ製品ではないというのは、官公庁に向いていると言えます。また、現在のセキュリティ市場には、資産管理ソフト、マルウェア対策ソフト、多要素認証ソフトなど、様々な企業の優れたセキュリティ製品があふれています。自組織の状況に合わせた最高の製品を組み合わせられることは性能面・コスト面で優れたメリットとなります。
Splunkは、CDMにおいて様々な製品を有機的に統合するため重要な役割を果たしています。各種製品のログを相関分析しやすい状態でデータを蓄積することで、CDMを構成する様々な機能を一元的に管理し、システム全体のリアルタイムでの監視・分析を可能にします。
Splunkのリアルタイム監視ツール「Splunk Infrastructure Monitoring」をぜひご覧ください。
こちらの資料もぜひご覧ください。
電子書籍「政府機関向けゼロトラストセキュリティモデルの導入ガイド」
ホワイトペーパー「政府機関等の情報セキュリティ対策のための統一基準に対応する Splunkの活用」
